Наверняка в 2019 году Вы то здесь, то там натыкались на заголовки об утечках данных банков, социальных сетей, веб-сервисов и мобильных приложений. А если подписаны на нашу новостную рассылку - то в курсе и некоторых последствий для компаний.
Все понимают, что в нарушениях информационной безопасности ничего хорошего нет, но масштаб проблемы осознают действительно немногие.
Немного мировой статистики за 2019 год
Если верить докладу о глобальных рисках Всемирного экономического форума за 2019 год, то мошенничество с данными и кибератаки являются 4 и 5 глобальными рисками, с которыми рано или поздно столкнется каждая организация.
В официальном ежегодном отчете о киберпреступности за 2019 год от Cybersecurity Ventures указывается, что атаки хакеров во всем мире происходят каждые 14 секунд, а к 2021 году их частота возрастет до каждой 11, а ущерб от хакерских атак достигнет 6 триллионов долларов США.
О самых крупных утечках данных в мире Вы можете почитать здесь.
Ознакомиться со статистикой по России и СНГ Вы можете здесь.
И если в этот момент Вы подумали “Внешняя хакерская атака на мою организацию никогда не произойдет по целому ряду причин”, то у меня есть плохие новости - только около 25% инцидентов информационной безопасности приходятся на внешние хакерские атаки. Намного чаще утечки происходят из-за сотрудников, сбоев систем безопасности, внутренних уязвимостей и т.д. А ниже еще несколько мифов, из-за которых может пострадать Ваша организация.
Миф 1. Информационная безопасность касается только ИТ-специалистов и компаний
Это мнение связано с несколькими причинами. Основная из них, что большинство решений на рынке информационной безопасности является именно ИТ-продуктами. Именно поэтому их внедрение чаще всего поручают ИТ-отделу. Однако не всегда они могут адекватно оценить возможные риски для организации, что приводит к построению системы информационной безопасности, которая закрывает вопросы именно этого подразделения. После внедрения таких решений, поддержание информационной безопасности воспринимается остальными сотрудниками как обуза и потеря возможности эффективно собирать и обмениваться информацией для адекватной работы других подразделений.
С чего же тогда начать? Нужно проанализировать, какую информацию Вам необходимо защитить и в зависимости от степени важности и рисков принимать разные меры к разным потокам информации. Чтобы не совершить ошибку, советую ознакомиться Вам со стандартом системы управления информационной безопасностью ISO/IEC 27001, где уже собраны лучшие практики. Это позволит избежать большого числа дорогостоящих ошибок.
Миф 2. Мы уже внедрили ИТ-решение для обеспечения информационной безопасности, нам больше ничего не грозит
Можно установить в компании различные средства сетевой защиты, контроля физического доступа и т.п. после чего пребывать в спокойном состоянии, считая, что все необходимые меры по обеспечению информационной безопасности приняты. Однако вскоре конфиденциальная информация опять оказывается у конкурентов или сотрудник «случайно» стирает материалы проекта и т.п. Эти факты показывают, что проблема информационной безопасности является не только технической, но и управленческой, а значит, подходить к ней нужно комплексно. Большинство рисков информационной безопасности можно минимизировать управленческими решениями, рассматривая эти риски в качестве операционных, а остальные программными и аппаратными средствами. Под риском понимается возможность возникновения негативного события. Причем соотношение между управленческими и остальными решениями может быть 1 к 1. Поэтому, внедряя только техническое решение, мы не контролируем полноту защиты информации в компании, а идем на поводу у поставщиков систем, которые убеждают, что компании это очень необходимо.
Информационная безопасность должна давать гарантию того, что достигаются следующие цели: · конфиденциальность критически важной для организации или для принятия решения информации; · целостность информации и связанных с ней процессов (создания, ввода, обработки и вывода); · оперативная доступность информации в любой момент времени; · возможность накопления информации, т.е. сохранения предшествующих вариантов; · минимизация рисков путем выполнения компенсационных мероприятий; · учет всех процессов, связанных с информацией. Установка технического решения без предварительной оценки рисков, целей информационной безопасности и ее влияния на бизнес-процессы может привести к отрицательному влиянию на бизнес-процессы и потери контроля над ними.
Миф 3. Нужно минимизировать все риски информационной безопасности
Это уже другая крайность новичков внедрения систем информационной безопасности. При комплексном анализе нередко возникает объемный список рисков информационной безопасности. Нужно ли защищаться и минимизировать их все?
Ответ на данный вопрос лежит в определении и оценке риска. Необходимо учитывать учитывать три параметра: угроза (вероятность отрицательного воздействия), уязвимость (уровень текущей защиты от отрицательного воздействия), убыток (нанесение урона или создание такой возможности). Угрозы для организации исходят как изнутри (недовольные сотрудники), так и снаружи (присутствие лазеек в защите). Уязвимости возникают из-за неэффективного управления компанией и недоработок в информационных системах. Оценивая риски в данных разрезах, получают перечень особо опасных рисков, к минимизации которых необходимо приступать немедленно, и минимизация которых повысит уровень безопасности организации. Фактически речь идет лишь о понимании, сколько риска организация готова взять на себя и какому риску она подвергается в действительности.
Что делать с оставшимися рисками? Скорее всего их минимизация не требуется, поскольку стоимость мероприятий по их минимизации может превысить убытки от данных рисков. Поэтому основной задачей является определение логической границы между рисками, требующими минимизации, и остаточными рисками.
Миф 4. Внедрение системы управления информационной безопасностью не затронет деятельность компании
Невозможно качественно внедрить СМИБ и не внести никаких изменений в деятельность компании. Как правило, возникает необходимость регламентировать определенные процедуры, описать изменения в бизнес-процессах и определить ответственность исполнителей. Помимо этого необходимо предусмотреть тренинги и обучение по вопросам информационной безопасности, причем проводить их на постоянной основе. Очень часто выполнение мероприятий по минимизации рисков требует доработок, а иногда и внедрения специализированных информационных систем и технических решений. Причем на данных этапах необходимо привлечение интеграторов технических решений в области информационной безопасности и хранения документов.
Миф 5. Внедрив систему управления информационной безопасностью однажды, ее больше не стоит изменять
Так как все в этом мире развивается, то развиваются и добавляются новые способы нарушить информационную безопасность Вашей компании. Именно поэтому следует проводить периодическую переоценку рисков и принимать соответствующие решения по их устранению. Помимо реакции на изменения внешней среды, переоценка рисков должна обеспечивать контроль над эффективностью выполняемых мероприятий по обеспечению информационной безопасности. Ведь неработающая система - это тоже риск.
Я надеюсь, что мне удалось убедить Вас в том, что информационная безопасность Вашей компании - это важно и нужно. А мы можем помочь Вам внедрить стандарт ISO/IEC 27001 в деятельность компании и, при необходимости, поможем пройти сертификацию на соответствие этому стандарту.